Google推出了一些新措施，旨在防止流氓第三方軟件在Gmail，云端硬盤和其他Google云應(yīng)用程序的用戶之間傳播。立即生效，任何需要開放授權(quán)(OAuth)才能訪問Google應(yīng)用中的用戶數(shù)據(jù)的第三方應(yīng)用都將受到每日新用戶總數(shù)的限制。該上限將限制可以授權(quán)特定應(yīng)用訪問Google應(yīng)用中的用戶數(shù)據(jù)的新用戶數(shù)量。Google還限制了特定應(yīng)用程序可以多快地獲得新用戶。

Google副產(chǎn)品經(jīng)理Luke Camery在6月4日的博客中解釋說：“這些增強的保護措施將有助于保護我們的用戶，并創(chuàng)建OAuth生態(tài)系統(tǒng)，使開發(fā)人員可以在更安全的環(huán)境中繼續(xù)發(fā)展壯大。

OAuth是基于令牌的標準，用于在不同應(yīng)用程序之間實現(xiàn)有限的受保護信息共享。它使用戶可以授權(quán)第三方應(yīng)用程序訪問其數(shù)據(jù)，而無需任何單獨的身份驗證。

例如，OAuth對于用戶使用其Gmail或Facebook登錄憑據(jù)登錄第三方網(wǎng)站的能力至關(guān)重要。同樣，OAuth允許用戶允許第三方應(yīng)用程序或服務(wù)(例如云文件共享應(yīng)用程序)訪問其Google或其他帳戶中的數(shù)據(jù)，而無需輸入用戶名或密碼。

盡管該標準被認為非常有用，但也有其缺陷。例如，去年，成千上萬的G Suite用戶成為了垃圾郵件活動的受害者，當(dāng)時網(wǎng)絡(luò)釣魚者誘使他們使用虛假的Google Docs許可請求授予他們的聯(lián)系人列表訪問權(quán)限。遵循網(wǎng)上誘騙電子郵件中鏈接的用戶將被帶到合法的Google登錄屏幕，最終他們最終被授予了對流氓應(yīng)用程序而非Google文檔的訪問權(quán)。

事件發(fā)生后，Google一直在加強圍繞其OAuth應(yīng)用程序環(huán)境的某些控制。例如，去年7月，該公司開始向用戶發(fā)出更強烈的警告，告知他們是否可以訪問他們不熟悉的應(yīng)用程序。當(dāng)用戶嘗試授予對新應(yīng)用程序或Google尚未驗證為受信任的應(yīng)用程序的訪問權(quán)限時，該公司開始顯示 “未經(jīng)驗證的應(yīng)用程序”屏幕。

今天的公告基于這些保護措施，使應(yīng)用程序開發(fā)人員更難通過OAuth傳播惡意應(yīng)用程序。通過采取其他措施，每個新的或未經(jīng)驗證的應(yīng)用程序現(xiàn)在都將在一天中可以授予訪問其Google數(shù)據(jù)權(quán)限的用戶數(shù)量受到限制。配額將基于應(yīng)用程序的歷史記錄，開發(fā)人員的聲譽以及應(yīng)用程序?qū)で笤L問的數(shù)據(jù)類型，Camery說。配額限制了惡意應(yīng)用程序開發(fā)人員可能會影響的Google用戶數(shù)量。

大多數(shù)應(yīng)用程序開發(fā)人員不應(yīng)受到更改的影響。希望受到影響的開發(fā)人員可以要求Google驗證其應(yīng)用程序，也可以要求公司增加其每日配額，并說明為什么需要配額。Camery說：“我們將積極監(jiān)控每個應(yīng)用程序的配額使用情況，并采取積極措施與應(yīng)用程序接近其配額的任何開發(fā)人員聯(lián)系。”